ESET: троян-загрузчик обошел механизм защиты Google Play

Антивирусная компания ESET заявила о выявлении её специалистами нового семейства троянов-загрузчиков, проникших в Google Play под видом легитимных приложений, которые, чтобы избежать обнаружения, используют многоступенчатую архитектуру, шифрование и продвинутые механизмы маскировки.

После скачивания и установки приложения не запрашивают «лишние» права и выполняют ожидаемые действия. Вредоносная активность остаётся невидимой для пользователя и осуществляется в четыре этапа.

На первых двух этапах на устройстве в фоновом режиме производится расшифровка и выполнение двух компонентов, входящих в состав загруженного с Google Play приложения.

На третьем этапе вредоносная программа скрыто скачивает другое приложение, перейдя по закодированному URL-адресу. После пятиминутной задержки пользователю предлагается установить загруженное приложение – оно маскируется под популярный софт (например, Adobe Flash Player) или несуществующую программу с впечатляющим названием (Android Update или Adobe Update). Его задача – расшифровать и выполнить последний, четвёртый компонент и получить права, необходимые для его работы.

Троян-загрузчик позволяет заражать устройства любой вредоносной программой на выбор атакующих. Пока в качестве четвёртого компонента выступает мобильный банкер или шпионское ПО. В частности, специалисты ESET наблюдали установку на заражённое устройство банковского трояна MazarBot. После загрузки он выводит на экран поддельные формы авторизации для кражи логинов и паролей от онлайн-банка или данных банковских карт.